拒絕勒索軟件:執法機關和IT安全公司協力打擊勒索軟件

提供超過160,000個解密匙的最新工具協助受害者恢復資料

2016年7月,荷蘭警方、歐洲刑警組織、Intel Security和卡巴斯基實驗室聯合啟動了一項被稱為拒絕勒索軟件(No More Ransom)的倡議行動,標誌著執法機關和私營企業之間合作打擊勒索軟件行動邁出了最新的一步。No More Ransom(www.nomoreransom.org)是一個全新的網站,目的是為公眾提供有關勒索軟件的資訊,協助受害者在無需向網路罪犯支付贖金的前提下,恢復自己被加密的資料。
The No More Ransom Project

勒索軟件是一種能夠鎖定受害者電腦、或加密使用者資料的惡意軟件,它們會向受害者要求贖金,從而重新獲取受影響設備的控制權或恢復被加密檔案。對歐盟執法機關來說,勒索軟件是一種頭號威脅。約有三分之二的歐盟成員國正在對這種形式的惡意軟件攻擊進行調查。這種惡意軟件的目標通常是個人使用者的設備、同時企業、甚至政府部門的網路同樣遭受影響。受害者的數量正以驚人速度增長:根據卡巴斯基實驗室統計,遭受加密勒索軟件攻擊的使用者數量增長了550%,從2014至2015年間的131,000名用戶增長到2015至2016年間的718,000名用戶。

NoMoreRansom.org

計劃的網站www.nomoreransom.org 目的是為勒索軟件受害者整合有用的網上資源。使用者可以通過網站瞭解勒索軟件和其攻擊的原理,更為重要的是可以瞭解如何保護自己。安全意識非常重要,因為目前並非所有勒索軟件都有解密工具。如果被這種惡意軟件感染,受害者很可能永遠丟失資料。而遵循一系列簡單的網路安全建議使用互聯網,有助於從根本上避免被這種惡意軟件感染。

網站同時為用戶提供解密工具,一旦資料被網路罪犯加密,受害者可嘗試利用這些工具解密自己的資料。在初始階段,此網站包含四款針對不同類型惡意軟件的解密工具,當中包括於2016年6月最新發佈的、開發的針對Shade勒索軟件變種的解密軟件。

 

Shade 勒索軟件

Shade是一種勒索軟件木馬,最早於2014年末出現。這種惡意軟件通過惡意網站和電子郵件附件進行傳播。一旦入侵使用者系統,Shade惡意軟件會對電腦上的檔案進行加密,並建立包含勒索資訊和指導訊息的.txt檔,告知使用者該如何取回檔案。針對每個加密檔,Shade都使用了高強度解密演算法,並且生成兩個隨機的AES256密匙:其中一個用於加密檔案本身,另一個用於加密檔案名稱。

從2014年開始,卡巴斯基實驗室和Intel Security共攔截了超過27,000次Shade木馬試圖攻擊用戶的行為。大多數感染都發生在俄羅斯、烏克蘭、德國、匈牙利和哈薩克斯坦。此外,我們還在法國、捷克、義大利和美國發現Shade木馬的活動情況。

通過與不同的組織緊密合作和共用資訊,執法機關成功控制了網路罪犯儲存密匙的Shade C&C伺服器,並且將發現的密匙同卡巴斯基實驗室和Intel Security分享及製成特殊的解密工具。受害者可以從拒絕勒索軟件網站下載工具,恢復資料而無需向網路罪犯支付贖金。

公私合作打擊勒索軟件

No More Ransom為一項非商業倡議行動,目的是讓公共機構和私營機構合作。由於勒索軟件在不斷變化,網路罪犯會定期開發最新的惡意軟件變種,所以此計劃隨時向新的合作夥伴加盟敞開大門。

荷蘭國家警察局的國家犯罪調查處負責人Wilbert Paulissen說:「荷蘭警方無法獨自打擊網路犯罪,尤其是無法獨自打擊勒索軟件犯罪。這項工作是警方、司法部門、歐洲刑警組織和IT安全公司的共同職責,需要多方的共同努力。所以,對於警方同Intel Security和卡巴斯基實驗室的合作,我感到非常高興。我們將竭盡所能阻止網路罪犯的賺錢計畫,將被加密的檔返還給受害者,讓受害者無需向網路罪犯支付贖金。」

「加密勒索軟件目前所帶來的最大問題是一旦使用者珍貴的資料被鎖定,使用者會很爽快地向網路罪犯支付贖金,以找回檔。這種做法加速了這種地下產業的發展,導致從事勒索軟件業務的網路罪犯數量增多,攻擊數量也增多。只有齊心協力打擊勒索軟件,這種情況才會有所轉變。而解密工具的出現,正是我們前進道路上的第一步。我們希望這一項目能夠持續拓展,吸引全球更多國家和地區的公司和執法機關加入,共同對抗勒索軟件,」卡巴斯基實驗室全球研究和分析團隊安全研究員Jornt van der Wiel說。

「這項倡議行動顯示了公私合作在採取對抗網路犯罪行動時所展現的價值,」Intel Security公司的EMEA區首席技術官Raj Samani說:「這種合作已經不僅僅是分享情報、進行消費者教育以及打擊網路犯罪,而且能夠真正幫助受害者修復危害和損失。通過恢復對系統的訪問,我們能夠讓用戶瞭解到自己可以採取行動來恢復損失,並且要拒絕網路罪犯提出的贖金要求。」

歐洲刑警組織行動副局長Wil van Gemert最後說:「在過去幾年,勒索軟件一直是歐洲執法機關所面臨的一項難題。這一問題影響到普通公民和企業,影響的設備包括電腦和移動設備。網路罪犯會不斷開發更為複雜的技術,給受害者的資料造成更嚴重的危害。拒絕勒索軟件這樣的專案顯示,聯合專業技術和力量是成功對抗網路犯罪的關鍵。我們希望幫助更多人恢復自己的檔,同時提升用戶的安全意識,讓用戶瞭解如何避免讓自己的設備感染惡意軟件。」

報告勒索軟件受害情況

將勒索軟件資訊上報給執法機關非常重要,因為這樣做有助於執法機關更清晰地瞭解威脅整體情況,採取更有效的措施對抗這些威脅。No More Ransom網站為受害者提供了報告網路犯罪的機會,直接同歐洲刑警組織的網路犯罪報告機制相連。

如果你成為了勒索軟件的受害者,我們建議你不要支付贖金。一旦你支付贖金,就相當於支援了網路犯罪的業務。此外,即使你支付了贖金,也不能保證一定能夠恢復被加密的資料。